Coneix el ransomware Nemty del lloc fals de PayPal
Un nou ransomware anomenat Nemty ha aparegut a la xarxa, que suposadament és el successor de GrandCrab o Buran. El programari maliciós es distribueix principalment des del lloc web fals de PayPal i té una sèrie de funcions interessants. Els detalls sobre com funciona aquest programari ransomware estan sota el tall.
Nou ransomware Nemty descobert per l'usuari nao_sec 7 de setembre de 2019. El programari maliciós es va distribuir a través d'un lloc web disfressat de PayPal, també és possible que el ransomware penetri en un ordinador mitjançant el kit d'explotació RIG. Els atacants van utilitzar mètodes d'enginyeria social per forçar l'usuari a executar el fitxer cashback.exe, que suposadament va rebre del lloc web de PayPal. També és curiós que Nemty hagi especificat el port incorrecte per al servei de proxy local Tor, que impedeix que el programari maliciós s'enviï. dades al servidor. Per tant, l'usuari haurà de carregar ell mateix fitxers xifrats a la xarxa Tor si té la intenció de pagar el rescat i esperar al desxifrat dels atacants.
Diversos fets interessants sobre Nemty suggereixen que va ser desenvolupat per les mateixes persones o per cibercriminals associats amb Buran i GrandCrab.
Com GandCrab, Nemty té un ou de Pasqua: un enllaç a una foto del president rus Vladimir Putin amb una broma obscena. El ransomware GandCrab heretat tenia una imatge amb el mateix text.
Els artefactes lingüístics d'ambdós programes apunten als mateixos autors de parla russa.
Aquest és el primer programari ransomware que utilitza una clau RSA de 8092 bits. Tot i que això no té sentit: una clau de 1024 bits és suficient per protegir-se de la pirateria.
Igual que Buran, el ransomware està escrit en Object Pascal i compilat a Borland Delphi.
Anàlisi estàtica
L'execució de codi maliciós es produeix en quatre etapes. El primer pas és executar cashback.exe, un fitxer executable PE32 amb MS Windows amb una mida de 1198936 bytes. El seu codi va ser escrit en Visual C++ i compilat el 14 d'octubre de 2013. Conté un arxiu que es desempaqueta automàticament quan executeu cashback.exe. El programari utilitza la biblioteca Cabinet.dll i les seves funcions FDICreate(), FDIDestroy() i altres per obtenir fitxers de l'arxiu .cab.
Després de desempaquetar l'arxiu, apareixeran tres fitxers.
A continuació, es llança temp.exe, un fitxer executable PE32 amb MS Windows amb una mida de 307200 bytes. El codi està escrit en Visual C++ i empaquetat amb MPRESS packer, un empaquetador similar a UPX.
El següent pas és ironman.exe. Un cop llançat, temp.exe desxifra les dades incrustades a temp i les canvia el nom a ironman.exe, un fitxer executable PE32 de 544768 bytes. El codi està compilat a Borland Delphi.
L'últim pas és reiniciar el fitxer ironman.exe. En temps d'execució, transforma el seu codi i s'executa des de la memòria. Aquesta versió d'ironman.exe és maliciosa i és responsable del xifratge.
Vector d'atac
Actualment, el ransomware Nemty es distribueix a través del lloc web pp-back.info.
Cashback.exe - l'inici de l'atac. Com ja s'ha esmentat, cashback.exe desempaqueta el fitxer .cab que conté. A continuació, crea una carpeta TMP4351$.TMP de la forma %TEMP%IXxxx.TMP, on xxx és un número del 001 al 999.
A continuació, s'instal·la una clau de registre, que té aquest aspecte:
S'utilitza per esborrar fitxers descomprimits. Finalment, cashback.exe inicia el procés temp.exe.
Temp.exe és la segona etapa de la cadena d'infecció
Aquest és el procés iniciat pel fitxer cashback.exe, el segon pas de l'execució del virus. Intenta descarregar AutoHotKey, una eina per executar scripts a Windows, i executa l'script WindowSpy.ahk situat a la secció de recursos del fitxer PE.
L'script WindowSpy.ahk desxifra el fitxer temporal a ironman.exe mitjançant l'algorisme RC4 i la contrasenya IwantAcake. La clau de la contrasenya s'obté mitjançant l'algorisme hashing MD5.
temp.exe crida llavors al procés ironman.exe.
Ironman.exe - tercer pas
Ironman.exe llegeix el contingut del fitxer iron.bmp i crea un fitxer iron.txt amb un cryptolocker que s'iniciarà a continuació.
Després d'això, el virus carrega iron.txt a la memòria i el reinicia com a ironman.exe. Després d'això, iron.txt s'elimina.
ironman.exe és la part principal del ransomware NEMTY, que xifra els fitxers de l'ordinador afectat. El programari maliciós crea un mutex anomenat odi.
El primer que fa és determinar la ubicació geogràfica de l'ordinador. En Nemty obre el navegador i descobreix la IP http://api.ipify.org. En el lloc api.db-ip.com/v2/free[IP]/countryName El país es determina a partir de la IP rebuda i, si l'ordinador es troba en una de les regions que s'indiquen a continuació, s'atura l'execució del codi de programari maliciós:
Rússia
Bielorússia
Ucraïna
Kazakhstan
Tadjikistan
El més probable és que els desenvolupadors no vulguin cridar l'atenció de les forces de l'ordre dels seus països de residència i, per tant, no xifren els fitxers a les seves jurisdiccions "d'origen".
Si l'adreça IP de la víctima no pertany a la llista anterior, el virus xifra la informació de l'usuari.
Per evitar la recuperació de fitxers, s'eliminen les seves còpies d'ombra:
A continuació, crea una llista de fitxers i carpetes que no es xifraran, així com una llista d'extensions de fitxers.
finestres
$RECYCLE.BIN
rsa
NTDETECT.COM
etc
MSDOS.SYS
IO.SYS
boot.ini AUTOEXEC.BAT ntuser.dat
escriptori. ini
CONFIG.SYS
BOOTSECT.BAK
bootmgr
dades del programa
AppData
osoft
Fitxers comuns
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
Ofuscament
Per amagar els URL i les dades de configuració incrustades, Nemty utilitza un algorisme de codificació base64 i RC4 amb la paraula clau fuckav.
El procés de desxifrat amb CryptStringToBinary és el següent
Xifrat
Nemty utilitza xifratge de tres capes:
AES-128-CBC per a fitxers. La clau AES de 128 bits es genera aleatòriament i s'utilitza igual per a tots els fitxers. S'emmagatzema en un fitxer de configuració a l'ordinador de l'usuari. L'IV es genera aleatòriament per a cada fitxer i s'emmagatzema en un fitxer xifrat.
RSA-2048 per al xifratge de fitxers IV. Es genera un parell de claus per a la sessió. La clau privada de la sessió s'emmagatzema en un fitxer de configuració a l'ordinador de l'usuari.
RSA-8192. La clau pública mestra està integrada al programa i s'utilitza per xifrar el fitxer de configuració, que emmagatzema la clau AES i la clau secreta per a la sessió RSA-2048.
Nemty genera primer 32 bytes de dades aleatòries. Els primers 16 bytes s'utilitzen com a clau AES-128-CBC.
El segon algorisme de xifratge és RSA-2048. El parell de claus el genera la funció CryptGenKey() i l'importa la funció CryptImportKey().
Un cop generat el parell de claus per a la sessió, la clau pública s'importa al proveïdor de serveis criptogràfics MS.
Un exemple de clau pública generada per a una sessió:
A continuació, la clau privada s'importa al CSP.
Un exemple de clau privada generada per a una sessió:
I per últim arriba RSA-8192. La clau pública principal s'emmagatzema en forma xifrada (Base64 + RC4) a la secció .data del fitxer PE.
La clau RSA-8192 després de la descodificació base64 i el desxifrat RC4 amb la contrasenya fuckav té aquest aspecte.
Com a resultat, tot el procés de xifratge té aquest aspecte:
Genereu una clau AES de 128 bits que s'utilitzarà per xifrar tots els fitxers.
Creeu un IV per a cada fitxer.
Creació d'un parell de claus per a una sessió RSA-2048.
Desxifrat d'una clau RSA-8192 existent mitjançant base64 i RC4.
Xifra el contingut del fitxer mitjançant l'algorisme AES-128-CBC des del primer pas.
Xifratge IV amb clau pública RSA-2048 i codificació base64.
Afegint un IV xifrat al final de cada fitxer xifrat.
Afegeix una clau AES i una clau privada de sessió RSA-2048 a la configuració.
Dades de configuració descrites a la secció Recopilació d'informació sobre l'ordinador infectat es xifren mitjançant la clau pública principal RSA-8192.
El fitxer xifrat té aquest aspecte:
Exemple de fitxers xifrats:
Recollida d'informació sobre l'ordinador infectat
El ransomware recull claus per desxifrar els fitxers infectats, de manera que l'atacant pot crear un desxifrador. A més, Nemty recull dades d'usuari com ara nom d'usuari, nom de l'ordinador, perfil de maquinari.
Crida a les funcions GetLogicalDrives(), GetFreeSpace(), GetDriveType() per recopilar informació sobre les unitats de l'ordinador infectat.
La informació recollida s'emmagatzema en un fitxer de configuració. Després d'haver descodificat la cadena, obtenim una llista de paràmetres al fitxer de configuració:
Exemple de configuració d'un ordinador infectat:
La plantilla de configuració es pot representar de la següent manera:
Nemty emmagatzema les dades recollides en format JSON al fitxer %USER%/_NEMTY_.nemty. FileID té 7 caràcters i es genera aleatòriament. Per exemple: _NEMTY_tgdLYrd_.nemty. El FileID també s'afegeix al final del fitxer xifrat.
Missatge de rescat
Després d'encriptar els fitxers, el fitxer _NEMTY_[FileID]-DECRYPT.txt apareix a l'escriptori amb el contingut següent:
Al final del fitxer hi ha informació xifrada sobre l'ordinador infectat.
Aleshores, Nemty intenta enviar dades de configuració a 127.0.0.1:9050, on espera trobar un servidor intermediari del navegador Tor que funcioni. Tanmateix, de manera predeterminada, el servidor intermediari Tor escolta al port 9150, i el dimoni Tor l'utilitza el port 9050 a Linux o el paquet Expert a Windows. Per tant, no s'envien dades al servidor de l'atacant. En canvi, l'usuari pot descarregar el fitxer de configuració manualment visitant el servei de desxifrat Tor mitjançant l'enllaç que es proporciona al missatge de rescat.
Connexió al proxy Tor:
HTTP GET crea una sol·licitud a 127.0.0.1:9050/public/gate?data=
Aquí podeu veure els ports TCP oberts que utilitza el servidor intermediari TORlocal:
Servei de desxifrat Nemty a la xarxa Tor:
Podeu pujar una foto xifrada (jpg, png, bmp) per provar el servei de desxifrat.
Després d'això, l'atacant demana pagar un rescat. En cas d'impagament el preu es duplica.
Conclusió
De moment, no és possible desxifrar fitxers xifrats per Nemty sense pagar un rescat. Aquesta versió de ransomware té característiques comunes amb el ransomware Buran i el GandCrab obsolet: compilació a Borland Delphi i imatges amb el mateix text. A més, aquest és el primer encriptador que utilitza una clau RSA de 8092 bits, cosa que, de nou, no té cap sentit, ja que una clau de 1024 bits és suficient per a la protecció. Finalment, i curiosament, intenta utilitzar el port incorrecte per al servei proxy Tor local.
Tanmateix, solucions Còpia de seguretat d'Acronis и Acronis True Image evitar que el ransomware Nemty arribi als ordinadors i dades dels usuaris, i els proveïdors poden protegir els seus clients Acronis Backup Cloud... Complet Ciberprotecció proporciona no només còpia de seguretat, sinó també protecció utilitzant Acronis Active Protection, una tecnologia especial basada en la intel·ligència artificial i l'heurística del comportament que permet neutralitzar fins i tot programari maliciós encara desconegut.